1. 首页 > 以太坊

AI发现漏洞难验证:以太坊基金会揭示安全新挑战

Ai总结: 以太坊基金会披露,尽管AI代理成功识别出真实漏洞(如CVE-2026-34219),但验证报告所需时间远超生成过程。团队强调人工复现仍是安全判定的最终标准。

AI发现漏洞后,验证成本远高于生成

以太坊基金会指出,当前最核心的挑战并非发现缺陷,而是对AI生成的漏洞报告进行有效甄别与验证。在近期实验中,多个AI代理被部署于以太坊底层代码环境,其目标是探测潜在软件问题。

多智能体协同机制降低误报率

为提升可靠性,基金会采用分布式多代理架构,各代理在不依赖中央调度的前提下,通过版本控制系统共享状态信息。工作流分为四个阶段:侦察阶段聚焦攻击面收敛,狩猎阶段追踪假设路径并构建可重现样本,填补阶段避免重复劳动,验证阶段独立评估每份报告的真实性与唯一性。

人工复现仍为漏洞成立的唯一标准

所有被采纳的漏洞声明必须满足严格条件:明确可达的目标、清晰的安全不变性定义、失败机制说明、可观测证据支持、自包含重现器及去重标识。这些要求确保每个报告均可在真实代码环境中直接测试。基金会强调,若无法在生产环境中复现,则该漏洞不予承认。

此外,候选报告还需经过实际可利用性评估——任何可被普通网络节点触发的缺陷,其风险等级显著高于需特权或极端资源才能激活的问题。基金会特别指出,AI在判断漏洞可达性、攻击链复杂度或依赖长序列交互的隐蔽缺陷方面仍存在明显局限,更适合作为有状态测试框架的辅助工具,而非替代人类专家。

免责声明:本文所有内容均来源于第三方平台,所有内容不作任何类型的保证,不构成任何投资、不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。